Rodzaje ataków

DoS to skrót od "Denial of Service" - odmowa dostępu do usługi. Nazwa ataku określa jego skutek tj. zablokowanie dostępu, natomiast nie jest określone w jaki sposób sam atak się odbywa. Rodzaje ataków mogą być rozmaite, a zależą głównie od tego, jaka usługa ma zostać zablokowana.

W przypadku faksu może być to np. zapętlona kartka papieru, której zawartość (np. cała czarna strona) będzie w kółko wysyłana do odbiorcy.

W przypadku serwera wygląda to trochę inaczej i atakujący może spróbować zablokować usługę na różne sposoby. Dla przykładu weźmy wystawianie stron internetowych przez serwer Apache. Jeśli zainstalowana wersja serwera ma jakąś „dziurę”, może on spróbować taką lukę bezpieczeństwa wykorzystać. W efekcie serwer Apache może się zawiesić lub zresetować - ważne jest to, że nie serwuje stron. Może on także zaatakować na innym poziomie. Co prawda stos tcp w Linuksie jest przykładem całkiem niezłej roboty programistycznej, to jednak sporo racji jest w stwierdzeniu, że nie ma kodu bez błędów - jest tylko kod niedostatecznie przetestowany. Jeśli włamywaczowi uda się zmodyfikować lub zablokować działanie stosu tcp w jądrze, to uzyska oczekiwany efekt tj. serwer przestanie poprawnie komunikować się z siecią, a więc nie będzie wystawiał poprawnie stron internetowych.

Teraz pora na przykład opisujący atak, który często jest utożsamiany ze sformułowaniem "atak DoS". Dwa poprzednie wykorzystywały luki w oprogramowaniu zainstalowanym na serwerze. W związku z tym, użyte mogą być jedynie w kilku przypadkach. Może się zdarzyć, że administrator serwera nie dopilnuje aby oprogramowanie było odpowiednio zaktualizowane – w takiej sytuacji internetowi przestępcy mogą wykorzystać gotowe exploity i z powodzeniem zaatakować serwer. Jeśli natomiast administrator jest na bieżąco z aktualizacjami bezpieczeństwa, to konieczne jest posiadanie przez atakującego zaawansowanej wiedzy programistycznej i znajomości działania systemu operacyjnego serwera, na który próbuje się włamać, a także wszelkich aplikacji na nim zainstalowanych.

Jak się można domyślać ważne serwery są zazwyczaj dobrze zabezpieczone, a osób potrafiących samodzielnie znaleźć lukę w takich zabezpieczeniach nie jest tak wiele. W takiej sytuacji atakujący może zasypać serwer połączeniami sieciowymi. Do tego nie potrzebuje wielkich umiejętności programistycznych, musi tylko mieć dostęp do sieci komputerów zombie. Zamiast setek i tysięcy zombie atakujący może też wykorzystać portal społecznościowy – wystarczy aby przekonał dużą ilość osób do wspólnego ataku. Przykładem mogą być akcje takie jak atak użytkowników portalu Twitter na rządowe strony Iranu podczas trwania tam wyborów prezydenckich, czy też atak użytkowników forum 4chan na portal Wykop.pl. Ważne jest uzyskanie tego, aby duża ilość komputerów zaczęła nawiązywać połączenie z atakowanym serwerem. Takiego rodzaju atak nosi nazwę DDoS (Distributed Denial of Service) - rozproszony DoS. Rozproszony, gdyż źródłem ataku nie jest pojedynczy komputer tylko setki lub tysiące komputerów.

Mechanizm DDoS

Atak DDoS może zablokować dostęp do usługi na kilku poziomach.

Po pierwsze, przeciążeniu może ulec infrastruktura serwerowa - zbyt duża ilość żądań skutkuje przeciążeniem na serwerach, które obsługują daną stronę.

Po drugie, szczególnie w przypadku mniejszych serwisów utrzymywanych w datacenter większych firm hostingowych, skończyć się mogą zasoby udostępnione przez providera - pasmo bądź transfer. To może z kolei skutkować wyłączeniem konta i zablokowaniem serwisu, a być może także dodatkowymi kosztami dla właściciela atakowanego serwisu.

Po trzecie, przeciążeniu może ulec infrastruktura sieciowa. Nadchodzący ruch może być tak duży, że na pewnym etapie urządzenia w sieci szkieletowej datacenter mogą nie być w stanie go obsłużyć. Należy pamiętać, że każdy router ma określoną, ograniczoną przepustowość i w przypadku większego ruchu pojawią się problemy typu straty pakietów, problem z obsługą nowych połączeń itp.

Jak się bronić?

O ile przed typowymi atakami wymierzonymi w oprogramowanie zainstalowane na serwerze można się zabezpieczyć poprzez aktualizacje bezpieczeństwa, systemy wykrywania włamań (IDS), zabezpieczenia na serwerze (selinux, apparmor) itp., to w przypadku ataków sieciowych problem jest znacznie poważniejszy. Z punktu widzenia administratora datacenter sytuacja wygląda następująco. Dopóki infrastruktura sieciowa na styku datacenter - dostawcy łącz jest wystarczająca do obsługi zwiększonego ruchu, można zrobić sporo.

Sprawa sprowadza się np. do zidentyfikowania źródeł ataku i wycięcia ich na granicy sieci. Często źródeł ataku nie ma wiele - kilka, kilkanaście i można wtedy sprawę szybko zamknąć. Należy pamiętać, że obecnie do domu można kupić łącze o przepustowości 120 Mbps. Jest to większa przepustowość niż przepustowość łącz, do których są podpięte słabsze serwery dedykowane w niektórych polskich i zagranicznych datacenter. Jeden użytkownik jest w stanie wysycić pasmo całego serwera fizycznego. Jeśli nie da się zidentyfikować atakujących (jest ich zbyt wielu, ruch idzie także z krajowych sieci), a zasoby sprzętowe są wystarczające, można rozbić serwis na większą ilość maszyn fizycznych. Obciążenie serwerów rozłoży się wtedy na więcej maszyn i serwis pozostanie widoczny w sieci.

Problem pojawia się gdy infrastruktura sieciowa przestaje być wystarczająca. Prawda jest taka, że istnieje możliwość zablokowania łącz praktycznie każdego datacenter – wszystko jest kwestią ilości komputerów, które muszą dany cel zaatakować. Tysiąc komputerów podpiętych łączem 1 Mbps to ruch rzędu 1 Gbps. Dziesięć tysięcy komputerów z pasmem 5 Mbps to ruch rzędu 50 Gbps.

Największy odkryty botnet liczył 1.9 miliona komputerów. W takich sytuacjach najważniejsze jest to jak wygląda kontakt z ISP. Administrator datacenter może spróbować wykryć źródła i cel ataku. Potem w zasadzie jedyną opcją jest przekazanie wszelkich istotnych informacji do administratorów dostawców łącz tak, aby nałożyli oni odpowiednie filtry w swojej sieci szkieletowej i wycięli niepowołany ruch. Jeśli dane datacenter uczestniczy w programie BGP Blackholing PL to może wykorzystać dawane przez niego możliwości do wyfiltrowania niepowołanego ruchu w sieciach pozostałych uczestników programu. Pozwala to częściowo zmniejszyć skalę ataku.

Jak widać, atak DoS może być bardzo nieprzyjemnym doświadczeniem. W minimalizowaniu jego skutków najważniejsze jest doświadczenie administratorów opiekujących się atakowanym serwerem, a także szybki czas ich reakcji na zaistniały problem. Dobry zespół administratorów jest w stanie poradzić sobie z większością ataków, zmniejszając do minimum czas, przez który usługa nie jest świadczona.

Poradę dla Czytelników Dziennika Internautów przygotowała firma Kei.pl dostawca usług hostingowych.